DCN-TS08 AM功能和配置.ppt

AM功能和配置 学习目标 理解AM原理 熟练掌握AM功能的应用 熟练掌握AM功能配置 熟悉AM功能维护 课程内容 用户的一些需求 如下图所示，我们在做项目实施的时候，用户往往会提出一些特殊的需求如： 接入用户分配特定的IP，非授权的IP不让接入 只有特定的MAC才允许接入 结合上述两种情况，只有特定的一个IP及端口可以接入，等等 DCN解决方案 方案设想：如果我们可以通过某种技术实现“端口+MAC、端口＋IP、端口+IP+MAC” 绑定，授权的Pass，非授权的Deny就可以达到用户的要求 实现技术：AM（access management） AM功能介绍 AM：又名访问管理，它利用收到数据报文的信息（源IP 地址或者源IP+源MAC）与配置硬件地址池相比较，如果找到则转发，否则丢弃。 由上述AM的机制可以知道，通过AM功能就可以实现用户接入的管理控制，在实现机制上可以有多种方式 MAC+端口 IP+端口 IP+MAC+端口 课程内容 AM功能配置任务 1、 全局使能AM(必选) 2、 在某个接口上配置IP 地址（2、3至少一个必选） 3、 在某个接口上配置MAC-IP 地址（2、3至少一个必选） 4、关闭特定接口的AM功能（可选） AM配置命令 Am enable 命令： am enable no am enable 功能：使能访问控制功能，在am enable 时， AM 模块会拒绝所有的IP 报文通过；no 命令禁止访问管理功能，并清空IP 地址池和MAC-IP 地址池。 参数：无 命令模式：全局配置模式 缺省情况：am 访问控制不使能 AM配置命令（续） Am ip-pool 命令： am ip-pool start_ip_address [num ] no am ip-poolstart_ip_address [num] 功能：创建一个IP 地址段，放到地址池中。NO 命令删除一个在地址池中已经配置的IP 地址段 参数：start_ip_address 是IP 地址中某段地址范围的起始地址。 num 是从start_ip_address 开始的连续的地址数量，默认值是1。 命令模式：物理接口配置模式 缺省情况：IP pool 为空 AM配置命令（续） Am mac-ip-pool 命令： am mac-ip-pool mac_address ip_address no am mac-ip-pool mac_address ip_address 功能：创建一个MAC+IP 地址绑定，放到地址池中，或者删除一个在地址池中已经配置的MAC+IP 地址绑定，MAC 和IP 地址一 一对应。 参数： mac_address 源MAC 地址 格式为HH-HH-HH-HH-HH-HH。 ip_address 源IP 地址。32 位二进制数，用四个隔开的十进制数表示。 命令模式：物理接口配置模式 缺省配置：MAC+IP pool 为空 AM配置命令（续） Am port 命令： am port no am port 功能：打开或关闭物理接口上的AM 功能 参数：无 命令模式：物理接口配置模式 缺省情况：AM 功能打开 AM配置命令（续） No am all 命令： no am all {ip-pool|mac-ip-pool} 功能：删除全部用户配置的MAC-IP 地址池或者IP 地址池。 参数： ip-pool：IP 地址池 mac-ip-pool：MAC-IP 地址池 all：所有IP 地址池或者MAC 地址池 命令模式：全局配置模式 缺省配置：无 AM显示 Show am 命令： show am [interface interfaceName] 功能：显示当前交换机配置的地址项。 参数： interfaceName :物理接口名 命令模式：全局配置模式 缺省配置：无 AM排错帮助 由于其硬件资源有限，每个block（8 个端口）最多只能配置256 条表项 AM 资源要求用户配置的IP 地址和MAC 地址不能冲突，也就是说，同一个交换机上不同用户不允许出现相同的IP 或MAC 配置。 AM功能只有3900系列交换机才支持 课程内容 AM功能配置案例 网络拓扑图 配置步骤 1.全局使能AM功能 switch(Config)#am enable //当全局使能am功能以后,所有的IP报文件将会被过滤掉 2.在接口模式下用am ip-pool 做IP-端口 绑定或用am mac-ip-pool 做IP-MAC-端口 绑定 switch(Config-Ethernet0/0/2)#am ip-pool 192.168.1.244或switch(Config-Ethernet0/0/2)#am mac-ip-pool 0